内审师考试《内部审计在治理、风险和控制中的作用》最新讲义:C9

youlanqingkong1

C9　报告控制框架的有效性高级管理层的任务之一是监督风险管理系统和控制程序的建立、管理和评估。一线管理人员的职责之一是评估所在领域的控制程序。内部审计师为组织的风险管理及控制程序的有效性提供不同程度的确认。
首席审计执行官对控制程序的适当性和有效性发表总体意见。首席审计执行官通过实施审计和适当信赖其他确认服务提供者的工作来取得足够的证据，并据此发表意见。首席审计执行官就该意见与高级管理层和董事会沟通。
首席审计执行官应该评估所提议的审计计划的覆盖面的广度，以确定审计范围是否足以支持审计师对组织的风险管理和控制程序发表审计意见。如果在审计范围方面存在任何可能阻碍审计师发表意见的缺陷，首席审计执行官应当告知高级管理层和董事会。
内部审计部门所面临的主要挑战是在许多单项评估汇总的基础上评估组织控制程序的有效性。这些评估主要来源于内部审计业务、管理层的自我评估检查和其他相关确认服务提供者。随着业务的开展，内部审计师应该及时与适当管理层沟通业务发现，以便采取改进措施，纠正或减缓所发现的控制差异、缺陷及其后果。
根据IIA的《标准》和《实务公告》，组织要建立和维持有效的风险管理和控制程序，控制程序的目的是在风险管理和实现组织既定目标方面提供支持。控制程序主要用于确保:
▲财务和运营信息的可靠性与完整性；
▲运营和程序的效率和效果；
▲资产的安全；
▲对法律、法规、政策、流程及合同的遵守。
内部审计部门应该在风险评估结果的基础上，评价覆盖公司治理、运营及信息系统等内容的控制程序的适当性和有效性，主要包括：
▲评价的内容和范围。
控制系统的适当性，即控制系统能否适当保证机构的任务和目标有效地完成，这里要考虑成本效益问题；控制系统的有效性，即是否能取得预期效果，是否达到了预期的控制目标。预期的控制目标即指财务和运营信息可靠和完整；运营工作高效率、有成效；资产得到保护；机构遵守了相关的法律、规定和合同。
▲评价的标准。
如果本组织制定的标准适用，应予采用。如果本组织没有制定标准，或者不适用，应向管理层报告，建议采用行业标准、专业组织标准、协会标准、法律和政府标准。如果管理目标和标准模糊，审计师应寻求权威性解释。衡量控制框架的标准应与被评价单位达成一致意见。
▲评价的程序。
制定审计计划时，将控制过程列入检查和评价范围；开展审计工作，收集充分证据。首席审计执行官制定年度审计计划草案，以获取充分证据，评估控制程序的有效性。计划包括审计业务和／或其他程序，用以获取评估所有主要运营部门和业务部门的充分、适当的审计证据，同时检查主要控制程序在组织内的运行情况。计划应该灵活，以便根据管理战略、外部条件、 主要风险领域的变化或对组织实现目标期望的修改而进行调整。审计计划要特别考虑最易受到近期或意外变化影响的运营领域。这些领域的变化可能源自市场或投资环境、收购或过户、重组、新系统和新风险。在确定所提议的审计计划的覆盖面时，首席审计执行官要考虑其他向高级管理层提供确认的人（如企业合规人员）开展的相关工作，同时要考虑外部审计师完成的审计工作和管理层对组织风险管理过程、控制和质量改进程序的自我评价。与管理人员一起进行控制自我评价也是收集证据的一种好途径。
接下来是对控制过程的单项评价进行汇总，这些单项评估主要来源于内部审计业务、管理层的自我评估检查和其他相关确认服务提供者（如前面提到的企业合规人员、外部审计师），内部审计部门所面临的主要挑战是在许多单项评估汇总的基础上评估组织控制程序的有效性，据此作出总体评价，也就是整个控制框架的总体效果。总体评价从范围来讲就是评价组 织内部各种控制系统和所有的活动。从目的来讲就是要评价控制系统能否适当保证组织目标的完成。在评估组织控制程序的总体效果时，首席审计执行官应该考虑以下因素：
▲是否发现重大差异或缺陷；
▲发现后是否进行了纠正或改进；
▲能否从这一发现及其潜在后果中得出一个结论，即无法接受的风险水平普遍存在。
重大差异或缺陷的存在不一定必然得出类似情形普通存在且将为组织带来无法接受的风险的结论。内部审计师在确定控制程序有效性是否受到危害和是否存在无法接受的风险时，既要考虑风险发现的性质和范围，也要考虑潜在后果的大小。
▲评价的结论和报告。
作出评价结论和控制过程评价报告，根据发现的风险水平和对组织目标的影响，用三种形式发表评价结论：
▲无保留意见，即经过审计没有发现控制系统存在普遍的严重薄弱环节；
▲保留意见，即审计发现存在控制系统漏洞或薄弱环节，但整体上不至于控制失效；
▲否定意见，即控制系统有重大漏洞或严重的薄弱环节，控制系统整体上作用很小甚至失效。
评价报告要做到简明易懂、信息量大、有建设性意见，评价报告的接收对象为高级管理层和董事会（审计委员会）。
根据《萨班斯一奥克斯利法案》第302条款的规定，上市公司的首席执行官和首席财务官必须在报送给美国证券交易委员会的公司季报、年报上，书面声明：
▲已经审核了上述报告；
▲基于其了解，上述报告不包含对于重大事实的不真实陈述或遗漏，并且，对于报告中包括的财务报表和其他财务信息在所有重要方面的表达都是公允的；
▲尤其是，这些负责签字的人员有责任建立并维持内部控制，设计了内部控制，以确保自己能获得与公司及其并表子公司有关的所有实质性信息，尤其是在该报告编制期间；在财务报告编制前90天，评估了公司内部控制的有效性，在报告中披露了上述评估的结果；
▲已向外部审计师和审计委员会披露了内部控制的设计和运行过程中影响公司的报表编制的重大缺陷、涉及在内部控制方面起重要作用的管理人员或其他雇员的所有欺诈行为，以及在评估之后内部控制的重大变化，包括针对内部控制显著缺陷或实质性漏洞采取的更正措施。
《萨班斯一奥克斯利法案》第404条款规定了管理层对内部控制的评估，证券交易委员会要求所有依照《1934年证券交易法案》第13 （a）或第15（d）条款编制的年度报告中都包含一份内部控制报告，这份内部控制报告应：
▲表明公司管理层有建立和维持财务报告内部控制系统及相关控制程序充分有效的职责；
▲包含管理层在最近一个财政年度年底对财务报告内部控制系统及程序有效性进行评估的结果；
▲每个为发行人编制或发布审计报告的在册会计师事务所均应验证并报告发行人管理层所做的评价。
为此，内部审计师可以提供以下增值服务：参与信息披露控制和流程的初始设计，加入信息披露委员会，协调外部审计师和管理层的行动，独立地评价信息披露控制和流程。内部审计师应当确保本组织具备正式的政策和书面记载的流程来管理财务报告以及相关法规监管机构要求的信息披露。CAE应当促进信息披露委员会的组建，并成为其一员。内部审计师应当定期审查和评估有关财务报告的信息披露控制和流程、信息披露委员会的活动及其相关文件，并向管理层和审计委员会提供总体运营和遵循政策和流程情况的评估。
【典型试题】
1.某经理建议提供一套控制系统和检查清单，来控制危险材料在不同场地之间的运输，这套系统也适用于材料在同一场地内的移动。由于一直没有发生这方面的问题，生产线上的主管没有支持这一做法。这种状况意味着
a.只有一个控制强点。
b.只有一个控制弱点。
c.一个控制强点和一个控制弱点。
d.既没有控制强点也没有控制弱点。
『正确答案』c
『答案解析』
a.不正确：见题解c。
b.不正确。见题解c。
c.正确。使用该系统去控制材料在不同场地或同一场地之间的运输是一个控制强点，但生产线上的主管没有支持这一做法是一个控制弱点。
d.不正确。见题解c。
2.健全的内部控制系统最可能发现由谁实施的违规行为?
a.一组雇员串通。
b.单个雇员。
c.一组经理串通。
d.单个经理。
『正确答案』b
『答案解析』
a.不正确。控制是由人来实施的，即使内部控制系统的功能健全，在相关雇员故意违反并串通合作的情况下也是可以绕过控制的。
b.正确。良好的内部控制系统很容易发现单个雇员在没有他人帮助的情况下实施的违规行为。
c.不正确。相对于雇员的串通，管理人员之间的串通更加容易脱离控制。
d.不正确。相对单个雇员来说，单个经理违规行为的隐蔽性更强，更容易绕过控制。
3.许多非盈利机构的基金筹措都是通过电话捐款实现的，为确保所有的电话捐款都被记录，并被支付给该机构，以下哪项控制程序效果最差?
a.管理层亲自定期监听电话。
b.编制管理报告，比较去年与今年每一部电话的平均捐款额。
c.对收取的捐赠物进行随机抽查，确认捐款人的捐款额。
d.计算机自动记录所有的电话，并对所有的电话进行随机抽查监听。
『正确答案』c
『答案解析』
a.不正确。定期监听电话实质上是一种抽样检查，通过核对可以确定是否存在电话捐款没有记录的情况。
b.不正确。通过这种分析性复核，在一定程度上可以帮助判断今年是否存在捐款被占用、转移的可能性。
c.正确。从题目可知已收取的捐赠物都会事先做好电话记录，因而，这个控制程序无法检查是否存在电话记录没有被记录并支付给机构的情况。
d.不正确。通过计算机对电话进行记录和监听，可以确定是否存在电话捐款没有记录或转移的情况。
4.某职员的职责包括比较已收商品与供应商送货单据中相关数据、批准对已收商品的付款、并且及时更新联网记录中的存货总量。该职员时常从已收商品中转移小件贵重商品、批准对已收到的所有项目付款、并且篡改存货总量使之与存货实际增加量相等。能最有效地防止该职员进行这些非授权行为的控制措施是
a.将接触已收商品和批准向供应商付款这两项不兼容职责分离。
b.定期将已收商品数量和存货记录相核对。
c.按照供应商的送货单据批准付款。
d.要求必须有口令才能进入联机存货系统。
『正确答案』a
『答案解析』
a.正确。通过职责分离，两个岗位之间互相牵制、互相监督，可以有效地防止该职员转移贵重商品、篡改存货总量等非授权行为。
b.不正确。因为该职员有权更新存货记录，他可以将已收商品数量篡改为转移后的存货水平，因此这种核对不能有效地防止该职员进行这些非授权行为。
c.不正确。这样可以防止该职员不按照供应商的送货单据付款，但不能防止该职员转移贵重物品，篡改存货总量等行为。
d.不正确。只要该职员拥有更新联网中存货记录的权力，H令自然也不成问题，防止不了他的非授权行为。
5.某公司近来不断发生将错误产品运送给客户的事件。大多数的客户订货都通过电话进行，由接线员将数据立即输人订货系统。如果执行得当，以下哪项控制程序能发现问题所在?
I.由计算机自动给每个客户订单进行连续编号。
II.对每个产品的编号进行数字自查，并要求按产品编号输入数据。
III.要求按产品编号输入数据，使用计算机程序确认产品和价格，要求接线员向客户口头确认产品种类。
a.只有II
b.I、II和III
c.II和III
d.I和II
『正确答案』c
『答案解析』
I.不正确。给订单连续编号不能防止接线员的输入错误。
II.正确。这项控制可以利用计算机的自查功能发现接线员向电脑输人的错误信息，而按产品编号输入数据有利于接线员快捷而准确地输入，及时发现错误。
III.正确。按产品编号输入数据，使用计算机程序确认产品和价格，再要求接线员与客户口头确认产品种类也可以通过多方核对相关数据，及时发现输入错误的产品信息。
6.验收部门保留采购订单副本用来确认和记录收货业务，采购订单列示了供应商的名称和订购材料的数量，该程序可能造成的潜在错误是
a.向未经批准的供应商付款。
b.对未经批准的采购业务付款。
c.对于部分送货多付货款。
d.耽误采购的记账时间。
『正确答案』c
『答案解析』
a.不正确。因为采购订单上列示了供应商的名称，又在验收部门保留，一般情况下不会向未经批准的供应商付款。
b.不正确。因为采购订单在验收部门保留，可以与验收单据进行核对，不会出现向未经批准的采购业务付款的情况。
c.正确。因为采购订单没有列示材料的单价，可能会出现多付货款的情况。。
d.不正确。采购的记账工作由会计部门负责，验收部门执行上述程序不会造成记账时间的耽误。
7.下列哪一项是内部审计师的咨询职能而不是确认职能?
a.评估内控的有效性和管理关键风险；
b.以可靠的方式评估和报告风险；
c.传授风险管理与控制的工具与技术；
d.设计和评估风险管理流程。
『正确答案』c
『答案解析』
a.不正确。参见题解c。
b.不正确。参见题解c。
c.正确。传授在内部审计活动中的风险管理与控制的工具与技术是内部审计的一项咨询活动。其他职能都属于确认职能。
d.不正确。参见题解c。